新发现的 QakBot 钓鱼攻击活动

关键要点

数月前，国际执法部门摧毁了臭名昭著的 QakBot 僵尸网络，最近发现了一起新的钓鱼攻击活动，该活动再次分发相同的恶意载荷。

QakBot（也被称为“QBot”、“QuackBot”和“Pinkslipbot”）曾是2023年最常用的恶意软件加载器之一，直到 8 月份在一次由
中，该行动中断了其网络并解散了 70 万台被感染的计算机。

根据微软威胁情报团队在 12 月 15 日的，他们发现了一起新的
QakBot 钓鱼活动。

研究人员表示：“该活动于 12 月 11 日开始，数量较少，并针对酒店行业。”

新的攻击目标收到一封伪装成美国国税局（IRS）员工的电子邮件。邮件中包含一个PDF附件，其中有一个链接可下载一个数字签名的Windows安装文件（.MSI）。

如果受害者执行了该MSI文件，就会启动 QakBot 恶意软件。微软研究人员表示，该载荷配置了一个以前未见的恶意软件版本，即 0x500。

虽然这一独特版本表明在过去几个月内可能进行了更新，但另一位研究人员在：“总体而言，这个新的 Qbot版本与旧版本基本相同，只是有一些小的调整。”

在8月份 dismantling 僵尸网络——这一行动被称为“鸭子猎杀行动”——当局还查获了相关基础设施和价值860万美元的加密货币。

尽管摧毁如此规模的僵尸网络被认为是重要的胜利，但研究人员当时警告，由于没有逮捕相关嫌疑人，导致 QakBot 相关的威胁行为者可能会重新集结。

十月，，他们认为同一团伙在 QakBot 被摧毁前的几周内分发了 RansomKnight 勒索软件和 Remcos 后门。Talos 的研究人员表示，虽然 8月份的突袭摧毁了该组织的指挥与控制服务器，但并未影响其垃圾邮件投放的基础设施。

QakBot 最初于 2008 年被观察到，并在这几年中定期更新。一旦入侵了受害者的计算机，该恶意软件可以向被感染系统传递其他恶意载荷，包括勒索软件。

它被多个勒索软件团伙用作初步感染手段，包括和。

Qakbot 在被利用，这次攻击干扰了其生产设施，并迫使其支付 1100 万美元的赎金。为了解除8月份对70万台被感染计算机的控制，FBI 将 Qakbot流量重定向至其控制的服务器。这些被感染的机器——位于美国及全球范围内——随后被告知下载由执法机关创建的文件，以卸载该恶意软件。